Accord de sous-traitance (DPA)

Le présent accord de sous-traitance (ci-après « DPA ») complète les Conditions Générales et encadre, conformément à l'article 28 du RGPD, le traitement des données personnelles que PasDeLapin (ci-après le « Sous-traitant »), Quentin Guillouet, entrepreneur individuel (micro-entreprise), 7 rue des Fleurs, 78220 Viroflay, SIRET 984 215 939 00013, réalise pour le compte du professionnel utilisateur (le salon ou indépendant, ci-après le « Responsable de traitement ») dans le cadre de l'utilisation du service.

Le Responsable de traitement reste seul responsable des données de ses propres clients ; le Sous-traitant agit uniquement sur ses instructions documentées.

Le Sous-traitant traite les données pour fournir le service de réservation, d'agenda, de gestion des clients, d'encaissement et de comptabilité. Le traitement dure le temps de la relation contractuelle, puis cesse selon les conditions de l'article 8.

• Personnes : clients finaux du professionnel, et le cas échéant ses collaborateurs.
• Données : identité (nom), coordonnées (téléphone, email), date de naissance éventuelle, rendez-vous et historique, notes, montants et données de facturation. Les numéros de carte bancaire ne sont jamais stockés (traités par Stripe).

• Traiter les données uniquement sur instruction documentée du Responsable de traitement.
• Garantir la confidentialité (personnes autorisées soumises à une obligation de confidentialité).
• Mettre en œuvre des mesures de sécurité appropriées (authentification, 2FA disponible, chiffrement en transit, contrôle d'accès applicatif).
• Aider le Responsable de traitement à répondre aux demandes d'exercice des droits des personnes (accès, rectification, effacement, portabilité…), notamment via les outils d'export et de suppression du service.
• Notifier toute violation de données dans les meilleurs délais.

Le Responsable de traitement autorise le recours aux sous-traitants ultérieurs suivants, soumis à des obligations équivalentes :

• Supabase — authentification et base de données.
• Vercel — hébergement.
• Stripe — paiements et encaissements.
• Twilio (Twilio Inc., États-Unis) — envoi des rappels SMS.
• Resend (Resend, Inc., États-Unis) — emails transactionnels.

Le Sous-traitant informe le Responsable de tout changement concernant ces sous-traitants, lui permettant de s'y opposer.

Certains sous-traitants ultérieurs (notamment Vercel et Stripe) peuvent opérer hors UE. Ces transferts sont encadrés par des garanties appropriées (clauses contractuelles types et/ou Data Privacy Framework). (références exactes à vérifier auprès de chaque prestataire)

Le Sous-traitant met en œuvre des mesures techniques et organisationnelles adaptées au risque. Le détail des mesures peut être communiqué sur demande. (détail des mesures à préciser selon la configuration)

Le Sous-traitant assiste le Responsable de traitement pour la sécurité, les analyses d'impact éventuelles et la gestion des demandes des personnes concernées, et l'informe sans délai injustifié en cas de violation de données.

À la fin de la relation, le Responsable de traitement peut exporter ses données. Le Sous-traitant supprime ou restitue les données dans un délai raisonnable, sous réserve des obligations légales de conservation (notamment comptables — factures conservées 10 ans). La suppression ou restitution intervient sous 30 jours après la fin de la relation contractuelle.

Le Sous-traitant met à disposition les informations nécessaires pour démontrer le respect de l'article 28 et permet des audits raisonnables, dans des conditions à convenir entre les parties.

En créant un compte professionnel et en cochant la case d'acceptation à l'inscription, le Responsable de traitement reconnaît avoir pris connaissance du présent accord et l'accepter. La version acceptée et la date sont conservées à titre de preuve.